漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-062865
漏洞标题:某通用型平台SQL注入漏洞+任意文件上传getshell演示
相关厂商:cncert国家互联网应急中心
漏洞作者: 飞扬风
提交时间:2014-05-30 18:23
修复时间:2014-08-28 18:24
公开时间:2014-08-28 18:24
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-30: 细节已通知厂商并且等待厂商处理中
2014-06-04: 厂商已经确认,细节仅向厂商公开
2014-06-07: 细节向第三方安全合作伙伴开放
2014-07-29: 细节向核心白帽子及相关领域专家公开
2014-08-08: 细节向普通白帽子公开
2014-08-18: 细节向实习白帽子公开
2014-08-28: 细节向公众公开
简要描述:
最近的漏洞老是没审核~!~
详细说明:
江苏三源教育实业有限公司开发的教育信息化公共服务平台
有多加省市级单位在用
该平台由多个部分组成,包括资源、应用、活动、学习等部分,都以子域名的形式存在
说回这次的漏洞,SQL注入存在于活动中心的搜索处,而任意文件上传存在于资源中心
漏洞证明:
0x1 注入
以其中最大的江苏教育信息化公共服务平台为例来演示一下
存在于活动中心http://event.jse.edu.cn/的搜索处(活动中心均已event为子域名,如http://event.jsve.edu.cn/)
搜索处存在SQL注入,http://event.jse.edu.cn/api/searchPlatformActicvity,POST数据:keyWord=1&activityType=-1&organizationCode=&orderBy=ByHot¤tPage=1&tagId=
还是root权限
0x2 任意文件上传
存在于资源中心http://be.jse.edu.cn/channels/1647/default.htm
资源中心可以进行注册,注册后登陆http://contents.jse.edu.cn/my
我的资源中可以上传资源,选择上传素材
这个页面是关键,可以看到有三种方式,制作方式:在线编辑 文件上传 外部链接
这三种方式都没有问题,但其实还隐藏着第四种方式,我们来看下这个页面的源码
有01,02,04,怎么会没有03呢,再往下看页面代码
发现确实存在03的模块,只是被隐藏了起来,firebug手动将其他隐藏,将03显示出来看一下
03显示出来是zip上传,如下
下面就容易了,构造一个zip包,包含两个文件,一个x.aspx的一句话,一个index.html内容随意,通过该处上传
上传后,可以看到刚刚上传的文件的下载路径http://58.213.155.174:81/File/FileDownload?filePath=9999999999/File/2014-05-30/20ba306e-771a-4941-9bfd-46676c39f48c/e6529448-5701-4644-8efe-44efd1bfbf38.zip&contentType=application/octet-stream&name=桌面.zip
这个还不是shell的路径,截取参数filepath的部分值,即9999999999/File/2014-05-30/20ba306e-771a-4941-9bfd-46676c39f48c/
前面加上http://58.213.155.174:81/HTMLFile/,(上面得到的地址下的HTMLFile文件夹下),后面加上我们放的x.aspx
得到最终shell的地址http://58.213.155.174:81/HTMLFile/9999999999/File/2014-05-30/20ba306e-771a-4941-9bfd-46676c39f48c/x.aspx
PS:测试中其他一些平台也存在连03模块都没有隐藏的情况
PPS:shell已删
修复方案:
0x1 注入部分要加强过滤
0x2 不需要的模块不能只用none的方式来隐藏,应该彻底清除掉代码
版权声明:转载请注明来源 飞扬风@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:17
确认时间:2014-06-04 15:51
厂商回复:
CNVD确认并在两个以上实例上复现所述情况,目前正由CNVD尝试通过公开联系渠道联系软件生产厂商。同时根据测试结果,同步发给新疆分中心处置相关案例。
最新状态:
暂无